一、修改默认端口：第一道防线必须筑牢

宝塔面板默认端口（8888/22/888）是黑客扫描的重点目标。以2025年披露的未授权访问漏洞为例，攻击者可通过默认端口直接渗透数据库。操作步骤：登录面板后进入「安全」→「SSH管理」，将SSH端口从22改为1024-65535之间的随机高位端口（如35467），同时在「面板设置」中修改面板端口（默认8888）。修改后需在云服务器安全组同步放行新端口，避免访问中断。

二、IP白名单：把大门钥匙交给可信之人

仅允许指定IP访问面板，可彻底阻断陌生地址的暴力破解。在「面板设置」→「IP访问限制」中，添加管理员常用IP（如公司、家庭网络）。若使用动态IP，可配合「安全入口」功能（随机路径+端口），即使端口暴露，攻击者也无法找到登录入口。

三、双重认证：给账号上"双保险"

启用2FA（双重认证）后，登录需同时验证密码和动态验证码。在「面板设置」→「登录安全」中绑定Google Authenticator，即使密码泄露，攻击者也无法通过验证码环节。企业版用户还可开启「BasicAuth认证」，叠加第二层账号密码防护。

四、防火墙规则：只开必要的"窗户"

宝塔防火墙需遵循「最小权限原则」：仅放行80（HTTP）、443（HTTPS）等业务必需端口，关闭FTP（21）、数据库（3306）等非必要端口的公网访问。在「安全」→「防火墙」中，删除默认规则，按「端口+来源IP」精细化配置，例如仅允许办公IP访问数据库端口。

五、SSH密钥登录：抛弃脆弱的密码验证

密码暴力破解是服务器失陷的主因（Kali字典含1400万弱口令）。在「SSH管理」中启用密钥登录，禁用密码登录：生成RSA密钥对后，客户端通过私钥认证，安全性远高于密码。操作时需保存私钥文件，避免丢失后无法登录。

六、安全插件：免费工具也能筑起高墙

Nginx防火墙（免费版）：防御SQL注入、XSS攻击，在「软件商店」安装后开启「CC防御」，设置5秒内同一IP访问不超过8次，超限自动封禁24小时。Fail2ban：自动拦截多次登录失败的IP，在「SSH管理」中启用，可减少90%的暴力破解尝试。堡塔防入侵（企业版）：内核级防护，拦截webshell提权，适合高风险业务场景。

七、定期更新：给系统打"疫苗"

宝塔面板每年会修复数十个高危漏洞（如2025年7.4.3版本修复数据库未授权访问漏洞）。在面板首页点击「检查更新」，或执行命令 bt update 升级至最新版。同时开启「自动更新」，避免遗漏紧急安全补丁。

八、文件权限：给敏感目录上"锁"

网站目录权限配置不当会导致文件被篡改。通过「文件」管理器，将网站根目录权限设为755（仅所有者可写），上传目录（如 /upload）设为700，禁止执行PHP脚本。核心配置文件（如 /config）设为444（只读），防止被恶意修改。

九、数据备份：最后一道"救命符"

在「计划任务」中设置每日自动备份，将网站文件和数据库存储至阿里云OSS或本地异机。备份文件需加密，避免被攻击者删除。测试恢复流程：每月手动恢复一次数据，确保备份可用。

十、日志审计：揪出潜伏的"内鬼"

开启「登录日志」和「操作日志」监控，重点关注异常IP登录（如海外地址）、批量文件修改等行为。通过「堡塔资源监视器」插件，实时追踪CPU、内存异常占用，及时发现挖矿程序或木马进程。

实战案例：从入侵到防御的3小时反击战

某电商网站曾因未修改宝塔默认端口，遭遇黑客通过8888端口暴力破解，篡改首页植入钓鱼链接。技术团队紧急采取以下措施：

执行 bt stop 临时关闭面板，通过SSH修改端口并清理后门文件；启用IP白名单，仅允许运维团队IP访问；安装企业版「网站防篡改」插件，锁定核心文件；全量恢复数据至24小时前备份点。最终3小时内恢复业务，后续通过上述10条措施加固，至今未再发生安全事件。